Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Gestión de Evidencia Digital 1 GESTIÓN DE EVIDENCIA DIGITAL EN ESCENARIOS CONVENCIONALES E IOT Tiffany Estupiñan Londoño, Karen Mora Merchán Programa de Ingeniería de Sistemas Escuela Colombiana de Ingeniería Julio Garavito Director: Msc. Claudia Santiago Cely Proyecto de Grado 2018-2 / 2019-1 Gestión de Evidencia Digital 2 Tabla de contenido 1 RESUMEN 6 2 PLANTEAMIENTO DEL PROBLEMA 6 2.1 DEFINICIÓN DEL PROYECTO 6 2.2 DESCRIPCIÓN DEL PROBLEMA 6 3 JUSTIFICACIÓN 6 4 OBJETIVOS 7 4.1 Objetivo General 7 4.2 Objetivos Específicos 7 5 MARCO TEÒRICO 7 5.1 Informática Forense 8 5.1.1 Usos de la Informática Forense 9 5.2 Evidencia Digital 10 5.2.1 Clasificación de la evidencia digital 10 5.2.2 Criterios de admisibilidad de la evidencia digital 10 5.2.3 Manipulación de la evidencia digital 11 5.3 Definiciones 11 5.3.1 Datos 11 5.3.2 Datos Volátiles 11 5.3.3 Datos No Volátiles 11 5.3.4 Volcado de Memoria 12 5.3.5 Cadena de Custodia 12 5.3.6 Perito Informático Forense 12 5.3.7 Peritaje 12 5.3.8 Informe Pericial 12 5.3.9 Contraperitaje 13 5.3.10 Meta peritaje 13 5.3.11 Tanatología 13 5.4 Marco Legal 13 5.4.1 Marco Legal Colombiano 13 5.4.2 Marco Legal Internacional 15 Gestión de Evidencia Digital 3 5.5 Delitos Informáticos 15 5.6 Gestión de la Evidencia Digital 16 5.6.1 Recolección de datos volátiles 16 5.6.2 Recolección de datos NO volátiles 17 5.6.3 Cadena de custodia- Procedimiento 17 5.6.4 Volcado de memoria- Procedimiento 18 5.6.5 Recuperación de datos 19 6 Gestión de la evidencia digital 19 6.1 Mapa de conceptos 19 6.2 Memoria 20 6.2.1 Copia forense 26 6.2.2 Imagen forense 26 6.2.3 Recopilación de evidencia 26 6.2.3.1 Windows 26 6.2.3.1.1 Experimento 27 6.2.3.2 Linux 38 6.2.3.2.1 Experimento 39 6.2.3.3 Mac OS 44 6.2.3.3.1 Experimento 44 6.2.3.4 Dispositivos moviles 49 6.2.3.4.1 Android 51 6.2.3.5 Retos y conclusiones 53 6.3 Ossim 54 6.3.1 Herramientas 55 6.3.1.1 Pasivas 55 6.3.1.2 Activas 56 6.3.2 Secciones 56 6.3.2.1 Tableros 56 6.3.2.2 Análisis 57 6.3.2.3 Ambientes 57 6.3.2.4 Reportes 57 6.3.3 Actividad 57 6.3.4 Conclusión y reporte final 59 Gestión de Evidencia Digital 4 6.4 Red Forense 59 6.4.1 Tipos 60 6.4.1.1 Catch-it-as-you-can-system 60 6.4.1.2 Stop,look and listen 60 6.4.2 Procedimiento 61 6.4.3 Ataques comunes 61 6.4.4 Herramientas 62 6.4.5 Ejercicio 62 6.5 IoT 65 6.6 Nuggets DLS 68 6.6.1 Linux 72 6.7 Plataformas IoT 75 6.7.1 Samsung Artik 75 6.7.2 Amazon IoT 76 6.7.3 IBM Watson IoT 78 6.7.4 SiteWhere 78 6.7.5 Node red 78 6.7.6 GreenWave 82 6.7.7 Macchina.io 82 6.7.8 Thinger 83 6.8 Sistemas de archivos 83 6.8.1 Clasificación 84 6.8.1.1 Categoría de sistema de archivos 84 6.8.1.2 Categoría de metadato 84 6.8.1.3 Categoría de nombre de archivo 84 6.8.1.4 Categoría de contenido 85 6.8.1.5 Categoría de aplicación 85 6.8.2 FAT 85 6.8.3 NTFS 85 6.8.4 EXT 86 6.8.5 Actividad 86 6.8.6 Conclusión 86 6.9 Virtualizadores en la Forensia digital 86 Gestión de Evidencia Digital 5 6.9.1 Hipervisor: Definición 86 6.9.1.1 Hipervisor tipo 1 (bare metal) 87 6.9.1.2 Hipervisor tipo 2 (Host) 87 6.9.1.3 Hipervisores híbridos 87 6.9.2 Seguridad en hipervisores 88 6.9.2.1 Ataques a hipervisores 91 6.9.3 Forensia en Hipervisores 91 6.9.3.1 Experimento 95 6.10 Herramientas utilizadas 116 6.10.1 Helix 116 6.10.2 Deft 116 6.10.3 Hirens boot 117 6.10.4 Santoku 117 6.10.5 Dlc boot 117 6.10.6 EnCase 117 6.10.7 Katana 117 6.10.8 Koon-Boot 117 6.10.9 WireShark 117 6.10.10 WhatsApp Extractor 117 6.10.11 My lan Viewer 118 7 CONCLUSIONES 118 8 AGRADECIMIENTOS 119 Gestión de Evidencia Digital 6 1 RESUMEN Los criminales cada vez más aprovechan la tecnología para cometer delitos y eludir a las autoridades. Este hecho ha obligado a los gobiernos a reglamentar y establecer unos parámetros y directrices de buenas prácticas que deban llevarse a cabo en la gestión de evidencias digitales, de manera que puedan ser usadas como pruebas válidas ante un juzgado, teniendo en cuenta que la prueba dentro de un proceso judicial es de especial importancia. Por lo tanto, la obtención de Información se considera hoy en día en una de las actividades primordiales en una investigación forense. De ahí, la necesidad de que se actúe en el manejo de evidencia, en pro de evitar acciones que puedan invalidar las evidencias digitales ante un proceso judicial. 2 PLANTEAMIENTO DEL PROBLEMA A causa del rápido avance tecnológico, se hace evidente la necesidad de capacitar a las empresas e instituciones a responder frente a un incidente tecnológico, que le permita obtener una primera impresión de lo que pudo haber ocurrido en sus sistemas, como ocurrió y que información pudo obtener. Es por esto que en este proyecto se busca utilizar y analizar las metodologías existentes en forensia digital y así mismo comparar el procedimiento usado con la forensia en cloud e IoT para de esta manera determinar su similitud o diferencia. 2.1 DEFINICIÓN DEL PROYECTO El proyecto busca ampliar el conocimiento del porque es importante la gestión de la evidencia digital en escenarios convencionales e IoT, apropiándose de herramientas y de procedimientos para generar una guía de primeros auxilios para saber cómo reaccionar frente a in incidente mientras llegan las entidades correspondientes a realizar el respectivo trabajo. 2.2 DESCRIPCIÓN DEL PROBLEMA Se identifica la falta de conocimiento de las empresas y personas sobre la importancia de la forensia digital en general, por lo que se busca crear un documento que sirva de guía como primera respuesta ante un incidente digital para las empresas. Así mismo se pretende crear contenido que sea fácil de entender y permita generar interés en el tema. 3 JUSTIFICACIÓN La tecnología está cada vez más inmersa en la vida cotidiana de las personas, es por eso que han tomado conciencia al respecto y buscan proteger su información, aunque no cuenten con la pericia para esto. Gracias a este hecho, adherido al uso indiscriminado de mecanismos de anonimato y a las dificultades para la obtención de información digital es la razón por la cual creemos que es una temática interesante cuyo objetivo es difundir la información sobre la gestión de evidencia digital, Gestión de Evidencia Digital 7 así como sus buenas prácticas logrando mitigar la desinformación y la dificultad para la investigación con evidencia digital. Todo esto por medio del conocimiento y uso de herramientas de software utilizadas para la investigación informática forense de manera que se pueda presentar de forma objetiva, clara y detallada su efectividad y aplicabilidad. Actualmente se encuentra con más frecuencia casos de delito informático, violación de sistemas y dispositivos, fraude informático e incidentes de seguridad de la información y privacidad de los datos. Como parte de lo que se requiere en estos casos, es poder determinar qué fue lo que paso, cómo ocurrieron los hechos, cómo evaluar los rastros o huellas que dejaron los atacantes en los sistemas para determinar cómo proceder legalmente, defenderse y protegerse. Y ahora, con los dispositivos IoT en todas partes, también es importante revisar cómo aplicar las mismas o nuevas soluciones de gestión de evidencia digital en este nuevo escenario. 4 OBJETIVOS 4.1 Objetivo General Generar una propuesta para la gestión de evidencia digital aplicada a escenarios convencionales y de internet de las cosas que incluya herramientas, metodologías y procedimientos requeridos para que pueda ser utilizado dentro de procesos legales en la generación, análisis y control de evidencia digital. 4.2 Objetivos Específicos ● Conocer la problemática de lagestión de evidencia digital y la informática forense en diferentes escenarios ● Estudiar metodologías y recomendaciones sobre la gestión de evidencia digital ● Identificar similitudes y diferencias entre escenarios convencionales e IoT ● Apropiar herramientas de gestión de evidencia digital y mecanismo de interacción entre diferentes herramientas ● Generar material de apoyo que permita profundizar en estas temáticas en cursos del programa de ingeniería de Sistemas 5 MARCO TEÒRICO Dado que este trabajo tiene como enfoque la gestión de evidencia digital, es necesario conocer sus antecedentes. En vista que en la actualidad es común escuchar el término de informática forense creemos fundamental conocer su historia y el trasfondo de su significado. La informática forense tiene sus inicios en la década de los 70 con la aparición de los transistores, utilizados para la innovación de las computadoras. Dado el rápido avance de la tecnología el interés por el estudio en el ámbito de la informática forense se hizo evidente en 1980, después de que las computadoras personales empezaron a transformarse en opciones para los usuarios. Gracias al rápido avance de las computadoras en los 80’s surgieron aficionados por la programación, muchos de ellos pertenecientes a importantes entidades gubernamentales de los Gestión de Evidencia Digital 8 Estados Unidos entre quienes estaba Michael Anderson quien junto con Danny Mares y Andy Fried de la IRS; Ron Peters y Jack Lewis del servicio secreto de los Estados Unidos; Jim Christy y Karen Matthews del departamento de defensa; Tom Seiffert, Roland Lascola y Sandy Mapstone de las agencias locales de aplicación de la ley de los estados unidos ; y los canadienses, Gord Hama y Steve Choy fundaron la primera organización dedicada a la forensia digital, llamada International Association of computer Investigation Specialist (IACIS). Anderson trabajó para el gobierno en la división de investigación criminal hasta mediados de 1990 y a raíz de la IACISl es considerado el padre de la informática forense [1]. A partir de esta década se dieron importantes pasos en la informática forense. El primero de ellos en 1993 cuando se celebró la primera conferencia sobre la recopilación de pruebas en equipos, la cual tenía como propósito reunir expertos en el tema con el fin de socializar prácticas e intercambiar herramientas, experiencia e información. Gracias a este primer encuentro, en 1996 se creó la IOCE (International Organization on Computer Evidence) con la intención de compartir las prácticas de informática forense en todo el mundo. Para 1998 a la IOCE se le encargó la tarea de desarrollar una serie de principios aplicables a los procedimientos entre las naciones para garantizar la fiabilidad del uso de las pruebas digitales recogidas por un estado para ser utilizadas en tribunales de justicia. En el cambio del milenio se analizó por parte del FBI alrededor de 2000 casos a través del análisis de 17 terabytes de datos lo que dio lugar a la creación del primer laboratorio regional de Informática Forense del FBI. Gracias a toda esta labor para el año 2003 los casos analizados por el FBI exceden los 6500 a través del análisis de 782 terabytes de datos [1]. Colombia no es la excepción, para el año 1999 aunque el delito informático no está explícitamente definido en el código penal, la Legislación si incluye en forma explícita el concepto de Evidencia Digital y reglamenta los requerimientos para que la misma sea permitida en un procedimiento jurídico con la Ley 527 de 1999. Sin embargo, para el año 2004 apareció el término “informática forense” cuando en el código de procedimiento penal colombiano en el artículo 236 (Recuperación de información dejada al navegar por internet u otros medios tecnológicos que produzcan efectos equivalentes.) otorga permiso sobre el fiscal a recopilar componentes tecnológicos como computadoras, servidores y demás medios de almacenamiento físico que considere son pieza clave en una investigación [2] [3]. 5.1 Informática Forense Según el FBI, la informática (o computación) forense “es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional” [4]. La informática forense fue creada para ayudar a capturar a los intrusos en la red con motivo de hacer daño a terceros. Esta ciencia abarca las siguientes disciplinas [5]: La computación forense encargada de resolver y analizar la información ubicada en los medios informáticos y de esta forma crear hipótesis de acuerdo a la información recopilada [6]. Gestión de Evidencia Digital 9 La forensia en redes tiene como función revisar los protocolos, configuraciones e infraestructura de comunicaciones con el fin de hallar datos precisos como la ruta tomada por el intruso y los rastros que pudo dejar en un tiempo particular [7]. La forensia digital encargada de tomar el conocimiento de la criminalística tradicional para aplicarlo en los medios informáticos La informática forense tiene 3 objetivos, a saber: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, la principal de ellas es la recolección de evidencia [8], además son enfocados en dar garantía y respaldo al usuario. Es por esto que un experto en este campo está capacitado en redactar pautas acerca del uso de los sistemas informáticos para un ente específico, con el fin de mantener la máxima seguridad en cada uno de los equipos evitando que sean comprometidos y que exponga datos o cualquier otra información de valor. 5.1.1 Usos de la Informática Forense Los usos de la informática forense varían según la aplicación pues proporciona una de las mejores rutas para hacer una investigación cuando se sospeche o exista una mala conducta digital. Ya que por medio de una investigación informática forense es posible acceder a áreas en el espacio más remoto de almacenamiento de una computadora y de este modo extraer evidencia e información útil incriminatoria usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Convirtiéndose en una ciencia de alta demanda y gran contribución a la aplicación de la ley, así mismo se está usando para reabrir y resolver casos que se han congelado en el tiempo y dada la velocidad en que la tecnología avanza, del mismo modo lo han hecho las técnicas y formas de recopilación de datos. Sin embargo, no es el único uso dado en la actualidad pues existen muchos servicios de investigación privada enfocada a los roles tanto empresariales como personales con el fin buscar evidencia para la prevención o tratamiento de algún incidente digital y de esta forma descubrir si se ha tratado de una infidelidad, fraude, discriminación, acoso, o divorcio como es el caso de los servicios personales, o por el contrario para temas corporativos puede ser recolectada información en casos sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial [9]. Gestión de Evidencia Digital 10 5.2 Evidencia Digital Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales [10]. Una definición más general propuesta por Brian Carrier es definir la evidencia digital como datos digitales que soportan o refutar una hipótesis acerca de un evento o estado de datos digitales [11]. La evidencia digital es un medio válido para usarse como prueba en la legislación colombianatomando en cuenta que abarca cualquier tipo de información extraída de un medio o de un dispositivo digital. Puede ser de distintos tipos como por ejemplo el contenido de un archivo, metadatos, datos de log, información de medios de almacenamiento no visible como archivos eliminados [12]. 5.2.1 Clasificación de la evidencia digital Se clasifica en tres categorías: ● Registros almacenados en el equipo informático: son aquellos generados por una persona y que son almacenados en el computador, lo importante con este tipo de archivos es importante demostrar que las afirmaciones humanas son reales. ● Registros generados por un equipo informático: son aquellos generados mediante la programación de un computador, estos son inalterables por las personas llamados log estos son utilizados como pruebas para demostrar el correcto registro generado por el computador. ● Registros híbridos: son aquellos generados por una combinación entre una persona y un computador, solo sirven como prueba si cumplen los dos requisitos anteriores [10]. 5.2.2 Criterios de admisibilidad de la evidencia digital Existen cuatro criterios para analizar a la hora de tener en cuenta la admisibilidad de la evidencia, estas son: ● Autenticidad: con el fin de demostrar que toda la información es precisa y verídica confirmando que la evidencia no ha sido modificada y que proviene de una fuente identificada. Para asegurar su cumplimiento se requiere que una arquitectura entregue mecanismos que certifiquen la integridad de los archivos [7] [10] [13]. ● Confiabilidad: establece si realmente los medios que se están probando son de fuentes confiables, creíbles y verificables. Para comprobar esto se debe contar con una arquitectura que demuestra que los logs que genera son confiables y que pueden ser identificados, recolectados, almacenados y verificados [14]. ● Completitud o suficiencia: demuestra que la prueba está completa, para asegurarlo debe garantizar la integridad, sincronización y centralización logrando obtener una vista completa de toda la situación realizando una completa correlación de eventos ya sea manual o sistematizada. Gestión de Evidencia Digital 11 ● Apogeo y respeto por las leyes y las reglas del poder judicial: la evidencia digital debe cumplir con todos los códigos de los procedimientos y disposiciones legales del sistema jurídico del respectivo país en este caso en Colombia. 5.2.3 Manipulación de la evidencia digital Para esta investigación es fundamental diferenciar entre evidencia y prueba, la evidencia digital es la recopilada por un perito y la prueba es aquella evidencia involucrada en una investigación. Se deben tener en cuenta algunos, requisitos para cumplir con la manipulación de la evidencia digital es por eso que a continuación se listaran cada uno de ellos: ● Se debe manejar un buen uso de los medios forenses estériles en cuanto a las copias de la información. ● Se debe controlar y mantener la integridad de todos los medios originales recopilados, lo que significa que al momento de realizar la recolección se debe verificar que nunca cambie la evidencia. ● Solo un profesional forense puede tener acceso a la evidencia digital ● Todas las copias de los datos obtenidos deben estar correctamente marcadas, controladas y preservadas y deben estar siempre disponibles para la revisión de la misma manera que los resultados. ● cuando la evidencia digital esté en manos de una persona, éste será responsable de absolutamente todas las acciones tomadas durante su poder. Son las agencias las encargadas de llevar de manera responsable los procesos de recolección y análisis de la evidencia garantizando el cumplimiento de los anteriores numerales [14]. 5.3 Definiciones 5.3.1 Datos Desde este punto de vista los datos son pulsos eléctricos a través de la combinación de circuitos y pueden ser representados por la computadora como tipo numérico, alfabético o simbólico, encargados de describir objetos, condiciones o situaciones, para la toma de decisiones. 5.3.2 Datos Volátiles Son aquellos datos que quedan almacenados de forma temporal en la memoria volátil del sistema como lo es la memoria RAM o la memoria caché que se podrían perder si el equipo se apaga o se reinicia [15] [7] [16]. 5.3.3 Datos No Volátiles También llamados datos persistentes, son aquellos que se encuentran almacenados en el disco duro u otros dispositivos de almacenamiento que normalmente no se pierden al apagar o reiniciar el equipo. Gestión de Evidencia Digital 12 5.3.4 Volcado de Memoria Es la abstracción reproducida en binario de los datos que se encuentran en la memoria RAM y en la memoria virtual. Para los sistemas Windows se manejan tres tipos de volcado de memoria mini, kernel y full. El mini se caracteriza por recuperar la información de los procesos y la memoria tal como se estaba ejecutando, mientras, el tipo kernel contiene al mini y adicionalmente al núcleo del sistema operativo, el estado de los registros y el ciclo de vida de los procesos. Finalmente, el tercer tipo de volcado corresponde al vaciado completo de la memoria RAM y virtual del equipo. Por otro lado, en los sistemas operativos Unix y derivados existen dos tipos de volcados, el tipo Core que contiene la información de una aplicación cuando ocurre un error en su ejecución y el otro tipo completo que corresponde a la información total del sistema [6] [17]. 5.3.5 Cadena de Custodia La cadena de custodia es un proceso controlado que busca brindar soporte a la prueba digital ante un juez con el fin de garantizar la veracidad de las pruebas recopiladas. En el caso particular de evidencia digital, la información se puede encontrar en diferentes estados, almacenada estáticamente (información persistente), almacenada dinámicamente (información volátil), en tránsito o desplazamiento (en la red en forma de paquete de información) [14] [18]. 5.3.6 Perito Informático Forense Es el profesional que se encarga de realizar los procedimientos de recopilación de pruebas y exámenes detallados sobre equipos involucrados en un ataque, dividiendo su labor de análisis en tres ramas computadores y dispositivos, redes y evidencia digitales. Sin embargo, su labor incluye también el componente preventivo con el fin de evitar espionajes, fraudes, robos de información, manipulación de datos y programas, etc., que pueden ocasionar grandes pérdidas a las compañías. Su análisis permite responder las preguntas básicas de una hipótesis: quién, cómo, dónde, cuándo y por qué [5] [14] [18]. 5.3.7 Peritaje Es una disciplina encaminada a las actividades que se presentarán en un litigio de hechos basados en evidencias formales. Utilizando técnicas de informática forense para dar puntos de vista y aportar consideraciones sobre los factores de la actividad pericial, teniendo una visión netamente probática de los indicios, extrayendo los hechos complejos y de alto nivel de las evidencias obtenidas [14] [18]. 5.3.8 Informe Pericial Es un documento que enmarca el protocolo legal y técnico de la recopilación de evidencia, donde el perito expone el resultado de los análisis realizados. Donde inicialmente el perito analiza la situación planteada por el juez y determina el procedimiento a seguir para la intervención de acuerdo a lo solicitado por la justicia. Se debe detallar todo el procedimiento realizado explicando detalladamente las operaciones que se llevaron a cabo. Debe ser claro y objetivo, así como demostrar suficiencia de conocimiento científico del perito [14] [18] [19] [20]. Gestión de Evidencia Digital 13 5.3.9 Contraperitaje Es la revisión crítica de un informe pericial informática con el fin de buscar fallos en las metodologías y protocolos usados para recopilación de evidencia, de tal manera que se pueda refutarla conclusión emitida por el perito firmante del informe original. “El Contraperitaje, por regla general, no es más que una pericia que se realiza a un objeto que ya fue periciado con anterioridad y que es realizada por un perito distinto del primero, ya sea, durante el mismo litigio o de forma privada. Entendiendo que siempre el contra peritaje va a ser un segundo, tercer o cuarto peritaje practicado a un mismo objeto.” [21] [22]. 5.3.10 Meta peritaje Tiene como objetivo encontrar concordancia en los procesos, omisiones o errores que haya tenido el perito al realizar su informe pericial. Sin embargo, no es considerado un informe pericial, aunque debe contener los apartados o ítems respectivos a la estructura de un informe pericial para que tenga un orden lógico y cronológico [21] [22] [23]. 5.3.11 Tanatología Creada para realizar el análisis de flujo de red, captura de paquetes, evaluación de registro, control de firewall entre otros, permitiendo conocer y dar un análisis de los fenómenos observados dando una explicación del impacto generado por el ataque del sistema específico. El tanatólogo digital (perito) es el encargado de la recuperación de las arquitecturas, seguimiento e identificación de piratas para poder establecer cuál fue el delito informático [4]. 5.4 Marco Legal 5.4.1 Marco Legal Colombiano Teniendo en cuenta las definiciones descritas anteriormente en esta investigación, es necesario tener presente que para que tal evidencia sea válida como prueba ante un juez, debe fundamentarse no sólo en el correcto procedimiento de recolección como también en lo establecido por la ley. Enmarcando la perspectiva legal en Colombia se considera que la primera ley que incluye temáticas digitales fue la Ley 527 de 1999, denominada "Ley de Comercio Electrónico", la cual reconoció como prueba válida a los mensajes de datos, otorgándoles la fuerza probatoria establecida en el Código de Procedimiento Civil. Los artículos de esta Ley especifican como debe ser tratada la evidencia, teniendo en cuenta la integridad, la admisibilidad y fuerza probatoria de los mensajes de datos, así como el criterio para valorar probatoriamente el mismo, incluye además las recomendaciones para la conservación de los mensajes de datos y documentos a través de tercero. Sin embargo, La ley 527 dio paso a muchas regulaciones relacionadas al tratamiento de la información empezando con la ley 594 de 2000, la cual es, la ley general de archivos y criterios de seguridad, que da a conocer los conceptos sobre los distintos tipos de archivos, exponiendo la elaboración del documento hasta su eliminación o conservación permanente que se genera dentro de una entidad u empresa [3]. Gestión de Evidencia Digital 14 Para 2007 se da la Circular 052 de la Superintendencia Financiera de Colombia, donde se establecen los requerimientos mínimos de calidad y seguridad en el manejo de información a través de canales y medios de distribución de productos y servicios para clientes y usuarios. De igual manera en 2008 se establece, la ley estatutaria 1266 la cual regula el manejo de la información contenida en bases de datos personales, principalmente la financiera, comercial, crediticia, de servicios y la proveniente de otros países, e igualmente se establecen las disposiciones legales relacionadas con el hábeas data. En 2009 se reglamentó la ley 1273 por medio de la cual se modifica el Código Penal, estableciendo la protección de la información y de los datos. Esta ley penaliza todo acto que atente contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. En este mismo año se da la ley 1341 en la cual se establecen los conceptos y principios de la sociedad de la información, la organización de las TIC y la creación de la Agencia Nacional de Espectro (ANE), con el fin de establecer las obligaciones de los proveedores de redes y servicios de telecomunicaciones en relación a la seguridad de la información y la inviolabilidad de las comunicaciones. No obstante, existen artículos penales que, aunque no tienen relación explícita con las evidencias digitales, si se aplica a su uso en una investigación. Es así como el Código de Procedimiento Penal colombiano asume algunas facultades de la Fiscalía relacionadas con la obtención de evidencia, pues en el artículo 235 sostiene que “el fiscal podrá ordenar de manera fundada y por escrito la interceptación de comunicaciones que contengan información de interés para la investigación. Los órganos encargados de cumplir con la orden tienen la obligación de realizar la tarea inmediatamente después de haber sido notificados y de guardar la debida reserva” [24]. Por otro lado, el art. 236 “faculta al fiscal a ordenar el secuestro de computadoras, servidores y otros dispositivos de almacenamiento para que luego sean analizados por expertos en informática forense. El secuestro será autorizado cuando haya motivos razonablemente fundados de que existió transmisión de información relevante y se limitará exclusivamente al tiempo necesario para la captura de la información contenida” [24] [25]. En los dos supuestos, el fiscal deberá comparecer dentro de las 24 horas de realizada la medida ante el juez de control de garantías para que se desarrolle la audiencia de control de legalidad. Durante el trámite de la audiencia sólo podrán asistir, además del fiscal, los funcionarios de la policía judicial y los testigos o peritos que prestaron declaraciones juradas con el fin de obtener la orden respectiva. Cabe resaltar que, de todas las leyes y artículos presentados, especialmente la ley 1273 de 2009 y la Ley 527 de 1999, son empleadas para la administración de la justicia en un caso donde interviene como medio probatorio la evidencia digital [26]. Gestión de Evidencia Digital 15 5.4.2 Marco Legal Internacional En cuanto a el marco legal internacional es conveniente destacar los esfuerzos de los países latinoamericanos, por ponerse a la par de los países europeos en cuanto a leyes contra la ciberdelincuencia. El sistema penal mundial se ha enfrentado a un desafío constante desde el surgimiento y reconocimiento de los delitos informáticos, dando así la necesidad de hacer adecuaciones normativas con el fin de tipificar y penalizar correctamente tales delitos. Sin embargo, dado que el sistema de pruebas fue fundamentado en la evidencia física muchas veces es necesario aplicar normas que regulan este tipo de evidencia a la evidencia digital, creando en algunos casos brechas jurídicas. Si bien se han dado importantes pasos en este campo, cabe resaltar que existen falencias de capacitación y conocimiento del tema, dando lugar a una ineficiente utilización de las herramientas disponibles, así como generando inconvenientes en la penalización ante tribunales. Caso contrario se presenta en Europa, pues a pesar de llevar una lucha constante contra la ciberdelincuencia, son quienes llevan la delantera en el ámbito legal creando de esta forma un punto de referencia para Latinoamérica. Es así como se estableció una Directiva Europea, la Directiva 2016/1148, que contiene las medidas para garantizar un elevado nivel de seguridad en las redes y sistemas de información comunes para los miembros de la Unión Europea [27], todo esto con el compromiso de que los mismos cumplan y adopten las medidas adecuadas para minimizar, reducir o prevenir el riesgo planteado. De igual manera, uno de los puntos de esta directiva plantea que ante cualquier tipo de incidente informático los miembros están en el deber de notificar inmediatamente a la autoridad competente de cada país, entiéndase como el CERT (del inglés Computer Emergency Response Team) para que con su oportuno apoyo se puedan tomar medidas de prevencióny control, no solo a nivel institucional sino a nivel nacional. Cabe resaltar, que mientras en Latinoamérica la gran brecha es la falta de capacitación de las personas frente a un incidente de seguridad, en Europa existe mayor capacitación convirtiéndolo en una fortaleza que les permite ser puntos de referencia para las demás naciones incluyendo a Norte America. Hitos como lo fue el convenio sobre Ciberdelincuencia (conocido como el convenio de Budapest) convirtiéndose en el primer tratado internacional que busca hacer frente a los delitos informáticos con la creación de leyes nacionales, así como la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones; y aunque fue elaborado por el consejo europeo tuvo colaboración de varios países de Asia y América. 5.5 Delitos Informáticos El convenio de Budapest con el fin de definir un marco de referencia en el campo de las tecnologías y los delitos para la Unión Europea propone una clasificación de los delitos informáticos en tres grupos [28]: ● Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos en los que se contempla: Gestión de Evidencia Digital 16 o Acceso Ilícito, que constituye acceso malintencionado a una parte o todo el sistema sin autorización. o Interceptación Ilícita de datos, hacia, desde o dentro de un sistema. o Interferencia de datos, que es la eliminación, alteración o daño intencional de datos sin autorización. o Interferencia en el funcionamiento del sistema, obstaculizando su buen desempeño introduciendo, transmitiendo, dañando, borrando o alterando sus datos. o Mal uso de dispositivos, que facilite el propósito de cometer delitos. Entre los delitos más reconocidos están el hacking que se conoce porque el perpetrador intenta acceder a un sistema o a un computador sin la debida autorización con la intención de cometer delitos desde el mismo. ● Delitos asistidos por computadora: entiéndase que son crímenes tradicionales donde la computadora es únicamente una herramienta para cometerlos. o Delitos relacionados con la informática: contempla realizar fraude o transferencias de dinero o valor monetario con el objetivo de obtener un beneficio económico no autorizado mediante la alteración, introducción, eliminación o acceso ilícito de datos en un sistema. o Delitos relacionados con dispositivos: contempla la alteración de dispositivos informáticos adaptados para hacer, recibir, obtener, vender o transferir información con el fin de su falsificación o uso fraudulento. ● Delitos relacionados al contenido: son similares a los delitos asistidos por computadora con la diferencia que el objetivo de ataque es el contenido como es el impulso y apoyo de la pornografía infantil, grooming, falsa información, racismo o xenofobia. Entre otros actos relacionados al crimen informático, se encuentran la infracción al copyright o derechos de autor pues dada la sobre explotación de información que se encuentra en la internet es un delito difícil de controlar. Así mismo, se encuentra el ciberbullying pues no existe una legislación específica que lo penalice, lo cual lo convierte en un debate político y social. 5.6 Gestión de la Evidencia Digital Gestionar la evidencia digital no es más que tener el conocimiento de cómo utilizar, trabajar o manipular la evidencia física, son los pasos para seguir al momento de analizar la evidencia con las herramientas y técnicas presentadas a continuación. 5.6.1 Recolección de datos volátiles Para la recolección de los datos volátiles, se debe evitar la contaminación de los dispositivos sospechosos a toda costa, sin embargo, es bastante complicado controlarlo pues se puede hacer uso de herramientas y comandos que causan graves efectos en la posible evidencia cómo cambiar las fechas y horarios originales de los accesos a los archivos, utilizar bibliotecas compartidas o de archivos DLL, activar un software malicioso o en el peor de los escenarios forzar un reinicio lo que causaría la pérdida de todos los datos volátiles. Gestión de Evidencia Digital 17 Teniendo en cuenta la naturaleza de estos datos, antes de comenzar su recolección es necesario acordonar el área, así como desconectar el dispositivo de internet con el fin de evitar que sea interceptado, además es necesario tener en cuenta las siguientes consideraciones [7] [13] [15] [16]: ● Ejecutar un intérprete de comandos confiable, que usualmente será la terminal del sistema operativo, a menos que se especifique lo contrario. ● Registrar la fecha, hora del sistema, zona horaria en que se realiza la recopilación. ● Determinar quién o quienes se encuentran con una sesión abierta, ya sea usuarios locales o remotos. ● Registrar los tiempos de creación, modificación y acceso de todos los archivos. ● Verificar y registrar todos los puertos de comunicación abiertos. ● Registrar las aplicaciones relacionadas con los puertos abiertos. ● Registrar todos los procesos activos. ● Verificar y registrar las conexiones de redes actuales y recientes. ● Registrar la fecha y hora del sistema. ● Verificar la integridad de los datos. ● Documentar todas las tareas y comandos efectuados durante la recolección ● Examinar y extraer los registros de eventos. ● Examinar la base de datos o los módulos del núcleo del sistema operativo. ● Verificar la legitimidad de los comandos del sistema operativo. ● Examinar y extraer los archivos de claves del sistema operativo. ● Obtener y examinar los archivos de configuración relevantes del sistema operativo. ● Obtener y examinar la información contenida en la memoria RAM del sistema Esto es posible mediante el uso de herramientas forenses disponibles en los kits usados durante la investigación de este proyecto. La más adecuada para este tipo de información en el caso de Windows es D.A.R.T disponible en el kit DEFT que permite hacer el levantamiento de información volátil accediendo a la pestaña “Forensics” permitiendo la adquisición de información volátil necesaria para la investigación. Cabe destacar que existen además muchos comandos que permiten hacer la copia forense, sin embargo, con esto se corre el riesgo de alterar la información, por otra parte, el uso de herramientas forenses permite generar informes de auditoría válidos frente a una corte. 5.6.2 Recolección de datos NO volátiles En cuanto a datos No volátiles se le debe dar un buen manejo a los dispositivos para evitar la contaminación, aunque dado el caso que el dispositivo se contamine esta se puede controlar mediante técnicas, herramientas y una metodología. Una de las herramientas más común es dd.exe desarrollada por George Garner, esta herramienta tiene la capacidad de crear una copia bit a bit del disco duro del dispositivo sospechoso, con el fin de que ningún dato sea alterado. 5.6.3 Cadena de custodia- Procedimiento La cadena de custodia es un procedimiento basado en el principio de la “mismidad” para garantizar la autenticidad e integridad de las evidencias, asegurar que lo mismo que se revisó es lo que se le entrega al tribunal penal o a la entidad correspondiente. Estos mecanismos buscan probar que la evidencia recolectada no sea alterada, a continuación, se presentan los pasos mínimos que se Gestión de Evidencia Digital 18 manejan en una cadena de custodia y para la elaboración del procedimiento de recolección y gestión de evidencia forense [7] [8] [9] [14] [18] [11] [29]: ● se debe llevar una hoja de ruta en la cual se escriben los datos principales sobre la evidencia como fechas, horas, custodios, identificaciones, firma y cargo de quien recibe y entrega la evidencia y demás datos que considere importante ● Adjuntar todos los recibos personales de todos los custodios (con datos similares a los quetiene la hoja de ruta) ● pegar rótulos o etiquetas a todos los empaques de las evidencias como las bolsas, sobres de papel, frascos, cajas, entre otros. ● mantener un libro de registro físico o virtual de entradas y salidas para los laboratorios o los despachos de los fiscales e investigadores Estos pasos se realizan con el fin de brindar confianza a las personas que reciban las evidencias y certificar que la información es íntegra, que no ha sido alterada o modificada. 5.6.4 Volcado de memoria- Procedimiento Hoy en día el volumen de los discos es muy amplio por lo que el proceso puede resultar costoso en cuanto a tiempo y a recursos [17]. Los volcados de memoria son una representación binaria que tienen los sistemas, estas están contenidas en la memoria RAM y virtual del sistema operativo. Se debe tener bien claro qué tipo de volcado se va a realizar, y es posible clasificarlos en 3 tipos: ● Crear una copia bit stream de disco a imagen: es el método más habitual y más rápido. Además, permite realizar tantas copias como sea necesario de una manera fácil y sencilla para la fase de análisis. ● Crear una copia bit stream de disco a disco: es el método utilizado en el caso de que no sea posible realizar una copia bit stream de disco a imagen. Del mismo modo que el método anterior se puede realizar tantas copias como sean necesarias. La realización de un clonado mediante un dispositivo hardware conlleva una mayor fiabilidad y rapidez. ● Creación de una copia de datos dispersos de una carpeta o archivo: es decir, realizar una copia selectiva, ya que en muchas ocasiones dependiendo del tipo de incidente puede no ser necesario volcar todo el disco y sea suficiente copiar ciertas carpetas o ficheros. Adicionalmente es necesario tener en cuenta algunos datos complementarios en el proceso del volcado de memoria: ● En caso de que se requiera hacer una copia sectorizada (como es el caso de incidentes de malware, para posteriormente analizar qué sectores se encuentran infectados) del disco es necesario usar el método, Master Boot Record que hace referencia al primer sector, sector 0, de un dispositivo de almacenamiento de datos. Posee un tamaño de 512 bytes y almacena información relativa a cómo iniciar el sistema, qué tipo de particiones hay en el dispositivo y el tamaño de las mismas, etc. En cierto tipo de incidentes, principalmente relacionados con malware, puede resultar de interés extraerlo para que en un posterior análisis determinar si está infectado. ● Si lo que se requiere es una información más detallada de los ficheros y carpetas se usa el método Master File Table (MFT) la cual es una tabla que almacena información relevante de todos los ficheros y carpetas de una unidad o disco. Contiene, entre otra, información como nombre, tamaño, fecha, hora, o permisos, incluso de ficheros que hayan sido eliminados hasta el momento en el que dicho espacio sea necesario y se sobrescribe. Gestión de Evidencia Digital 19 5.6.5 Recuperación de datos Es un proceso utilizado para recuperar archivos de manera legal, recuperando archivos que fueron dañados, corrompidos o eliminados de forma ilegal, es por eso que antes de utilizar la herramienta se debe tener en cuenta los siguientes pasos [12]. ● la identificación de los equipos informáticos para determinar los datos a recopilar y analizar ● Analizar el dispositivo para realizar la recuperación mediante el análisis de los discos duros y extracción de información sobre que causo la perdida de los archivos para poder eliminar el ransomware del equipo. ● Elaboración del informe con todos los resultados obtenidos, dando el análisis detallado de los datos recogidos, también se deben explicar los procedimientos que se realizaron para recuperar los archivos. 6 Gestión de la evidencia digital A continuación, se encuentra el trabajo realizado durante el proyecto aplicando la metodología y técnicas a las diferentes herramientas investigadas. Adicionalmente se establece el marco de información con el que se pretende tener una guía de lo que se debe tener en cuenta durante la gestión de evidencia digital. 6.1 Mapa de conceptos La imagen encontrada a continuación es el primer producto realizado como proyecto de grado, es un mapa de bloques sobre el enfoque general para el proyecto el cual esta distribuido de la siguiente manera: La sección verde es la clasificación de los dispositivos para el alcance del proyecto que en este caso es los equipos convenciones como los computadores o routers y los dispositivos IoT como lo son los celulares, SmartWatch, smartTv a los cuales se analizaron mediante unas técnicas como las que se observan en la sección azul, estas técnicas son importantes a la hora de entreagar la evidencia ya que si no cumple con la metodología apropiada no será admisible ante la corte por lo que es muy importante el bloque naranja en donde se tienen todas las herramientas utilizadas en el proyecto para la recolección de evidencia ya sea en la sección de red, memoria o sistema operativo, como también para móvil o cloud, estas técnicas se realizan con la ayudad de herramientas y kits forenses los cuales son open source y son fácil de usar para la recolección porque cuentan con las características y principios que deben tener las pruebas para ser validas ante la corte. Gestión de Evidencia Digital 20 } 6.2 Memoria La memoria, como componente principal de un dispositivo que genera y almacena datos, es el objetivo principal de los ataques informáticos. Por ende, es fundamental conocer su significado, su importancia, los seis niveles de memoria existentes entregando una explicación de cada uno y las técnicas que son aplicadas en cuanto a memoria como el volcado de memoria que es una representación binaria del contenido de la memoria RAM, conoceremos los 3 tipos de volcado de memoria los cuales están clasificados según la información que se desea recuperar o analizar [30] [31]. La memoria en informática es un dispositivo a base de circuitos que permite almacenar limitadamente la información de la computadora, muchas veces conteniendo información vital no solo para el propietario sino para el funcionamiento de la máquina como tal, pues son clave para el arranque de la computadora o la ejecución de instrucciones. Son diversos los tipos de memoria y de acuerdo a sus características, difieren sus funciones [32]. Entre las características principales se encuentra su capacidad pues compone un dato esencial para calibrar la potencia de un computador, la cual está medida en bytes, como dato esencial en cuanto mayor sea la cantidad de memoria que posea un dispositivo mejor será su rendimiento. Siendo parte de la arquitectura del dispositivo, como componente también posee su propia arquitectura que define los tipos de memoria existentes, así como el tipo de información que almacena [33]. Los niveles que componen la jerarquía de memoria habitualmente son [34]: - Nivel 0: Registros del microprocesador o CPU - Nivel 1: Memoria caché - Nivel 2: Memoria primaria (RAM) - Nivel 3: Memorias flash - Nivel 4: Disco duro (con el mecanismo de memoria virtual) - Nivel 5: Cintas magnéticas (consideradas las más lentas, con mayor capacidad, de acceso secuencial) - Nivel 6: Redes (actualmente se considera un nivel más de la jerarquía de memorias). Se realizará entonces un análisis trivial sobre cada uno de los niveles, para dar un mejor entendimiento sobre la memoria en sí. En el nivel 0 se encuentran los registros del procesador que ofrecen un nivel de memoria más rápido y pequeño que la memoria principal, que permite a los Gestión de Evidencia Digital 21 usuarios conocedores del lenguaje de ensamble acceder a estos registros y hacer uso óptimo de la memoria principal. Así mismo contiene registros utilizados por el procesador para el sistema operativopara controlar la ejecución de programas. En el nivel 1, se encuentra la memoria caché (caché, que proviene del francés y significa escondite) la cual almacena datos de rápido acceso con información volátil lo que le permite ser de apoyo para la memoria principal y de esta manera mejorar la capacidad de procesamiento [35]. Su funcionamiento a simple vista es bastante sencillo, cuando un dato es accedido por primera vez una copia del acceso es guardada en caché haciendo más rápido su posterior acceso, razón por la cual se renueva constantemente. A su vez, la memoria caché se encuentra organizada en diferentes niveles según sea su proximidad al núcleo del procesador. Un elemento a considerar es el tamaño de la memoria caché, si bien el punto de equilibrio depende del tipo de programas ejecutados, por esto existirá una cierta cantidad de memoria a partir de la cual el incremento del rendimiento obtenido no compensa el costo adicional de agregar más memoria caché. En la actualidad los procesadores indican que usan 3 niveles de caché: L1 de 10KB a 20 KB, L2 de 128KB a 512KB y L3 de 4M a 12MB [36]. La memoria caché L1, es un tipo de memoria pequeña y rápida que está en la unidad de procesamiento central, utilizada para acceder a datos importantes de uso frecuente. Es el tipo más rápido y de mayor costo integrado en el equipo. La memoria caché L2, es utilizada para almacenar información reciente fue diseñado para reducir el tiempo de acceder a datos que han sido usados anteriormente. Por su parte la memoria caché L2 es secundaria a la CPU y es más lenta que la memoria caché L1. La memoria caché L2 es la más unificada, lo que significa que se usa para almacenar los datos e instrucciones de programas. La memoria caché L3 es una memoria que está integrada en la placa madre. Se utiliza para alimentar a la memoria caché L2, y generalmente es más rápida que la memoria principal del sistema, pero todavía más lenta que la memoria caché L2 [36]. Indudablemente las ventajas son claras pues representa un aumento de la velocidad, sin embargo, también tiene desventajas puesto que si no se borra la caché o se refresca periódicamente se podría estar accediendo a datos no actualizados. En el nivel 2 se encuentra la memoria RAM (Random Access Memory) la cual es considerada como uno de los componentes más importantes de la CPU puesto que es la encargada de almacenar y ejecutar todas las instrucciones asignadas por el procesador, así como las órdenes de otros componentes tales como la tarjeta gráfica, el disco duro e incluso aplicaciones que se ejecuten en el equipo. Gracias al avance tecnológico, este componente ha tenido numerosas versiones a medida que se ha optimizado su rendimiento. Algunos de los modelos de memoria Ram volátiles más utilizados actualmente son [37]: ● VRAM o Video Random Access Memory que puede ser accedida por dos dispositivos simultáneamente. ● DRAM o Dynamic Random Access Memory, ya que requiere constante actualización, este tipo de memoria ya no se utiliza. Gestión de Evidencia Digital 22 ● SRAM Static Random Access Memory, aunque son muy rápidas, son difíciles de conseguir pues ya no se comercializan. ● DDR RAM surge como reemplazo a la SRAM, pues además de ser más rápida está constantemente sincronizada y funciona enviando datos de redundancia cada ciclo de reloj. ● DDR2 DDR3 y DDR4 son las más utilizadas en la actualidad con mucho mejor rendimiento y menor consumo de energía. ● RAMBUS a nivel de rendimiento es de las mejores pero debido a su alto costo no tuvo mucho éxito en las ventas. De esta manera cuanta más memoria ram tenga un dispositivo más posibilidades tiene de poder abrir varios programas informáticos al tiempo, pues incluso aunque no lo parezca, el entorno gráfico, el fondo de pantalla o el uso del ratón funciona a traves de RAM. Como ya se ha dicho con anterioridad, la memoria RAM es utilizada para almacenar programas y datos que usa el procesador en tiempo real, esto hace que la información almacenada desaparezca cuando se apaga el dispositivo [38]. Curiosamente muchas veces es confundida con la memoria ROM (Read Only Memory), la cual no es volátil lo que hace su acceso más lento pues como su nombre lo indica es de solo lectura. A su vez la memoria ROM se descompone en diferentes tipos [39]: ● MaskROM es la que se escribe durante el proceso de fabricación de la memoria y no puede modificarse. ● PROM (Programmable Read-Only Memory) Similar a la Mask ROM, pero los datos pueden ser introducidos después de fabricar el chip para luego no poder ser modificados. ● EPROM: (Erasable Programmable Read Only Memory) similar a la anterior, con la diferencia que sólo permite borrar contenido si este se expone a luz ultravioleta de alta intensidad. ● EEPROM: (Electrically Erasable Programmable Read-only Memory) permite eliminar los datos de manera electrónica, y pueden reescribirse los datos escritos en ellas un número limitado de veces. La memoria flash es una manera avanzada desarrollada de EEPROM que permite que múltiples áreas de memoria sean escritas o borradas en una misma operación, y esta es la que utilizan en la actualidad la mayoría de dispositivos con memoria flash como las memorias USB, tarjetas SD y más recientemente los SSD [40]. Es así como llegamos al nivel 3, memorias Flash, de las cuales anteriormente ya se ha hablado. Sin embargo, cabe destacar algunas de sus características más importantes. Iniciamos con la resistencia a los golpes, pues al no incluir elementos mecánicos en su interior puede moverse con mayor libertad lo que la hace ideal para dispositivos móviles. Adicionalmente esto lo hace mucho más silencioso, de bajo consumo y de tamaño reducido. No obstante, no todo son ventajas, puesto que solo permite una cantidad finita de escrituras y borrados, generalmente entre 10.000 y 1 millón), lo que hacen los controladores de estos dispositivos es ir añadiendo datos nuevos a partes que nunca se han usado para así no quemarlas demasiado pronto. Inicialmente almacenaban 8 MB, pero actualmente almacenan más de 64 GB, con una velocidad de hasta 20 MB/s [41]. Gestión de Evidencia Digital 23 Con estas grandes capacidades de almacenamiento alcanzamos el nivel 4 de la arquitectura de memoria que son los discos duros, también llamado, hard disk. o HDD. Es un dispositivo de almacenamiento magnético que aloja de forma permanente la información del ordenador, incluyendo el sistema operativo y las aplicaciones [42]. Este funciona por medio de un sistema de grabación magnética y está compuesto por uno o màs discos que se unen y giran a gran velocidad, sin embargo, actualmente existen los discos duros de estado sólido que usan procesos químicos para grabar la información, lo que lo hace mucho más resistente a daños y golpes, así como representa una mejora en velocidad de lectura y escritura, comparado con el disco magnético. Dentro de este nivel es muy común hablar de memoria virtual [43], pues es una técnica que ayuda a la memoria física para que la memoria principal parezca más grande que su tamaño físico, por lo que permite ejecutar programas más grandes que la memoria física disponible mientras que la memoria principal actúa como cache de la memoria secundaria (disco duro). La combinación entre hardware especial y el sistema operativo hace uso de la memoria principal y la secundaria para hacer parecer que el ordenador tiene mucha más memoria principal (RAM) que la que realmente posee. Aunque la memoria virtual podría estar implementada por el software del sistema operativo, en la práctica casi siempre se usa una combinación de hardware y software, dado el esfuerzo extra que implicaría para el procesador. Para los últimos niveles de la jerarquía es importante destacar que son los usados parahacer copias de seguridad o de soporte. La cinta magnética es un tipo de soporte de almacenamiento de información que permite grabar datos sobre una banda de material magnético, que son usualmente utilizadas para hacer backups. Aunque podría creerse que se encuentran en desuso, Sony anunció en 2014 que han conseguido una cinta magnética que puede almacenar 148 Gbit por pulgada cuadrada o 23 Gbit por cm², permitiendo que en una cinta se almacenen 185 TB (185000 GB). En tanto en mayo de 2014 la empresa Fujifilm anunció que desarrolló un cartucho que almacena 154 TB. Por otra parte, en el último nivel se encuentran los sistemas de almacenamiento de red, la cual es una arquitectura de almacenamiento a nivel de archivos en la que uno o más servidores almacenan datos en discos dedicados y los comparte, lo que hace que los datos sean más accesibles entre los dispositivos de una red [44]. Los tres principales sistemas de almacenamiento usados son [45]: ● SAN: (Storage Area Network), consiste en conectar discos a una controladora que con la suma de sus capacidades forma un espacio de almacenamiento global, junto con un servidor es posible gestionar los datos y permitir una conexión a una red local. ● DAS (Direct Attached Storage) es almacenamiento conectado directamente a una computadora individual, habilitando una capacidad extra de almacenamiento de esta. ● NAS: (Network Attached Storage) es el más utilizado por quienes buscan centralizar los archivos y copias de seguridad, dado que este sistema incorpora su propio sistema de conexión y recepción de peticiones de acceso a los datos, elimina a los servidores del proceso. Gestión de Evidencia Digital 24 Con esto en mente, es posible hablar de almacenamiento en la nube, el cual Según el IEEE Computer Society la computación en la nube es: “un paradigma en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés” [46]. Permite almacenar y acceder a datos transfiriéndose a través de internet o de otra red a un sistema de almacenamiento externo que se contrata por medio de un tercero quien administra y opera el almacenamiento en la nube como un servicio. Estos sistemas de almacenamiento pueden ser escalables y adaptables a las necesidades de almacenamiento, accesibles desde cualquier lugar y desde cualquier dispositivo. Esto le otorga agilidad, escala global y durabilidad a la información. Las empresas disponen de tres modelos principales para elegir: un servicio de almacenamiento en nube pública, adecuado para datos no estructurados; un servicio de almacenamiento en nube privada, que puede estar protegido detrás de un firewall de la compañía para tener más control sobre los datos; y un servicio de almacenamiento en nube híbrida, que combina servicios de almacenamiento en nube pública y privada para ofrecer una mayor flexibilidad [46]. Sin embargo, no todo son ventajas, pues el uso de este tipo de tecnología crea cierta dependencia de los proveedores de este tipo de servicio confiando en su tecnología y funcionamiento, sin tener acceso a los servidores físicos en caso de necesitarlo. Por otro lado, puede existir una sobrecarga en los servidores si el número de usuarios es muy alto o no se sigue una política de uso adecuada y a pesar de requerir una mínima inversión e infraestructura ya que solo es necesario contar con una plataforma en la nube y no hay que instalar ningún software, puede llegar a generar altos costos según el espacio requerido de almacenamiento [46]. Para un correcto análisis, existen técnicas de recolección de datos que son procedimientos especiales utilizados para obtener y evaluar las evidencias necesarias, suficientes y competentes que le permitan formar un juicio profesional y objetivo, que facilite la calificación de los hallazgos detectados en la materia examinada. La recolección debe ser realizada por un perito profesional en informática forense, dicha recolección representa un esfuerzo considerable por su parte. Si este procedimiento se hace correctamente es mucho más útil para atrapar al delincuente y representa una oportunidad mucho mayor en ser admitida como hecho en un juicio. Como parte del análisis de la recolección, se deben considerar varios factores entre estos se encuentran la evaluación de escena, herramientas y equipamientos, dispositivos electrónicos, el tipo de información que se quiere recolectar, almacenamiento y transporte, análisis de la información obtenida y el reporte de resultados [47]. En todos y cada uno de los casos analizados se debe tener en cuenta el procedimiento adecuado para realizar la recopilación de la información. Para este procedimiento es necesario comenzar por llevar una orden de recopilación de información dando la posibilidad de ser admitidos en un proceso judicial. Luego se debe determinar el tipo de evidencia que se busca en la investigación, lo que ayuda a determinar la relevancia de los datos. Una vez se ha establecido el tipo de información que se busca y lugares probables donde encontrarlos, por lo que es necesario fijar qué Gestión de Evidencia Digital 25 dispositivos son volátiles y pueden contener información sensible, necesaria para la investigación [48]. Para comenzar el proceso de recopilación, se debe eliminar la interferencia externa, establecer las herramientas necesarias, así como documentar todas las acciones realizadas para validar el proceso de recolección de evidencia. Finalmente es necesario hacer el análisis de la evidencia, el cual se dará por terminado cuando se descubra cómo fue realizado el delito, el porqué, quien o quienes lo cometieron, bajo qué circunstancias, cuál era el objetivo del ataque y qué daños causaron. Por otro lado, hoy en día el volumen de los discos es muy amplio por lo que el proceso puede resultar costoso en cuanto a tiempo y a recursos. Los volcados de memoria son una representación binaria que tienen los sistemas, estas están contenidas en la memoria RAM y virtual del sistema operativo. Se debe tener bien claro qué tipo de volcado se va a realizar, y es posible clasificarlos en 3 tipos [49]: a. El primero es creando una copia bit stream de disco a imagen: es el método más habitual y más rápido. Además, permite realizar tantas copias como sea necesario de una manera fácil y sencilla para la fase de análisis. b. Como segunda instancia se puede crear una copia bit stream de disco a disco: este método es utilizado en caso de que no sea posible realizar una copia bit stream de disco a imagen. Del mismo modo que el método anterior se puede realizar tantas copias como sean necesarias. La realización de un clonado mediante un dispositivo hardware conlleva una mayor fiabilidad y rapidez. c. Por último, tenemos la creación de una copia de datos dispersos de una carpeta o archivo: es decir, realizar una copia selectiva, ya que en muchas ocasiones dependiendo del tipo de incidente puede no ser necesario volcar todo el disco y sea suficiente copiar ciertas carpetas o ficheros. Adicionalmente es necesario tener en cuenta algunos datos complementarios en el proceso del volcado de memoria: En caso de que se requiera hacer una copia sectorizada (como es el caso de incidentes de malware, para posteriormente analizar qué sectores se encuentran infectados) del disco es necesario usar el método, Master Boot Record [50] que hace referencia al primer sector, sector 0, de un dispositivo de almacenamiento de datos. Posee un tamaño de 512 bytes y almacena información relativa a cómo iniciar el sistema, qué tipo de particiones hay en el dispositivo y el tamaño de las mismas, etc. En cierto tipo de incidentes, principalmente relacionados con malware, puede resultar de interés extraerlo para que en un posterior análisis determinar si está infectado. Si lo que se requiere es una informaciónmás detallada de los ficheros y carpetas se usa el método Master File Table (MFT) [51] la cual es una tabla que almacena información relevante de todos los ficheros y carpetas de una unidad o disco. Contiene, entre otra, información como nombre, tamaño, fecha, hora, o permisos, incluso de ficheros que hayan sido eliminados hasta el momento en el que dicho espacio sea necesario y se sobrescribe. Gestión de Evidencia Digital 26 6.2.1 Copia forense El clonado forense o también conocido como copia forense de discos duros, se realiza con el fin de certificar y mantener la cadena de custodia de las evidencias, ya que, de no hacerse correctamente, las pruebas recolectadas quedarían invalidadas. Esta técnica consiste en copiar todo el contenido de un disco duro, bit a bit, en otro dispositivo de almacenamiento con una herramienta que permita generar una firma hash de los bits leídos durante el proceso. obteniendo de eta forma, una copia exacta a bajo nivel de todo el contenido del disco duro además de certificar su contenido con la firma hash [52]. Es deber del perito informático certificar la cadena de custodia, esto es, que las evidencias permanecen inalteradas desde el momento en que son intervenidas, pudiendo certificar su originalidad en cualquier momento posterior a la intervención. 6.2.2 Imagen forense Es una técnica particular que permitirá crear una copia exacta del dispositivo o equipo original en uno nuevo. Esto significa que el original y la copia serán idénticos al momento preciso en que se hizo la imagen, al grado que incluso, de ambas se pueda recuperar información borrada a través de técnicas, tan sencillas con herramientas especializadas en cómputo forense o de técnicas más tediosas como el análisis manual de archivos en hexadecimal [53]. La imagen forense cumple entonces con los conceptos básicos del cómputo forense: identificar, preservar, recuperar, analizar y presentar hechos y opiniones, por tanto, al preservar todos los atributos del origen permiten que los hechos y opiniones puedan presentarse en tribunales [54]. 6.2.3 Recopilación de evidencia 6.2.3.1 Windows Por lo general el equipo se puede encontrar en 2 posibles estados, encendido, con procesos en ejecución, conectado a la red y con informacion de interes en medios como la memoria volátil y muerto, en que el dispositivo se encuentra desconectado, sin procesos activos y con información no volátil. Basados en estos estados, si el dispositivo está vivo lo más recomendable es volcar la memoria RAM. Sin embargo, se debe tener en cuenta que algunos computadores usan contraseña de administrador para acceder al sistema operativo, en caso de que esto sucediera, es necesario usar herramientas adicionales a las mencionadas en el artículo. Luego es necesario hacer una copia bit a bit de los medios de almacenamiento para lo que se recomienda el uso de herramientas tipo LIVECD como DEFT con lo que se genera el correspondiente Hahs en MD5 y SHA-1 para garantizar la integridad de los datos adquiridos [55]. A Continuación, es necesario analizar la imagen por medio de la misma herramienta es posible hacerlo, pues la mayoría de las suites permiten montar de manera segura la imagen para poder recorrer directorios y ficheros con mayor facilidad, usualmente se usa una herramienta como dd2vmdk para crea un disco virtual de la imagen y poder analizarla sin correr riesgos. Expertos en la materia aseguran que manejar de esta manera la evidencia trae varias ventajas en la investigación: Gestión de Evidencia Digital 27 “Cuando se revive un entorno virtualizado, la copia bit a bit, tenemos las siguientes ventajas: ● se puede aislar totalmente el sistema para evitar la comunicación con el mundo exterior. ● se puede ejecutar herramientas gratuitas que permitan extraer la información gráfica y automáticamente sin comprometer un entorno real. ● se tiene la posibilidad de sacar snapshots del sistema sin tener comprometido el segundo original. ● se puede ver el entorno real que tenía el usuario. ● se puede buscar información de una manera más rápida y fácil, ya que la navegación por el sistema será más intuitiva.” En la fase de análisis de Datos se realiza el análisis temporal, la búsqueda de contenido, recuperar los binarios y documentos borrados o corruptos, búsqueda de archivos ocultos o no usuales, búsqueda de procesos en ejecución, busqueda de cuentas de usuario. todo esto con el objetivo de encontrar evidencia relacionada al caso. 6.2.3.1.1 Experimento Para el caso de prueba de herramientas en Windows se hizo una prueba específica en la recopilación de datos en una memoria flash, más específicamente en una memoria usb. Con el uso de herramientas como Helix y Deft, con el fin de conocer la línea de tiempo de la información registrada en la memoria. Realizaremos la imagen de una USB de 1GB, para conocer la línea de tiempo de los archivos que han estado en la memoria entregándo información sobre qué archivos han sido creados, modificados o eliminados. Para comenzar con esta auditoría se solicitó autorización para el uso de la USB otorgando al dueño la información pertinente de lo que se realizaría. De manera que se procede a insertar la USB en el computador y se revisa el dispositivo a inspeccionar, en donde se encuentran 8 archivos, entre ellos unos archivos de word, pdf, html y una grabación, todos en perfecto estado. Después de eso se ejecuta la aplicación de Helix la cual de manera paralela crea un pdf en donde queda registrando la hora de inicio de la aplicación como se puede observar en la figura 2 y junto con ello todas las acciones que se realizan durante la ejecución de la aplicación como se observa en la imagen en la figura 3, con lo que al terminar la ejecución de la aplicación entrega un reporte final con las notas finales y la hora de finalización de la aplicación como aparece en la figura 4, el cual únicamente se obtiene al final de la ejecución. Gestión de Evidencia Digital 28 Fig. 2 Acciones realizadas Fig. 3 Acciones realizadas Gestión de Evidencia Digital 29 Fig. 4 Acciones realizadas Toda esta informacion anterior se genera paralelamente al proceso de obtención de la información, la cual se hizo teniendo la debida precaución de no alterar la realización de la imagen. Para la recopilación de la imagen forense, fue necesario seguir los siguientes pasos en la herramienta Helix. Dado que es una herramienta fácil e intuitiva fue necesario ingresar al icono (adquision) como se indica en la figura 5. Fig. 5 Adquisicion de memoria A continuación se selecciona el origen de la adquisicion, que en este caso es la memoria USB, asi como el destino por lo que lo más recommendable es que sea de tipo disco duro y finalmente un nombre que identifique la imagen forense que se va a adquirir tal como se observa en la figura 6. Gestión de Evidencia Digital 30 Fig. 6 Adquisicion de memoria Esto llevará a una pantalla que da informacion sobre la herramienta que se usará para la imagen tal como aparece en la figura 7. Fig. 7 Herramienta Esto desplegará una nueva ventana que muestra la ejecución de la herramienta como tal, que para el ejercicio es FTK Imager de la figura 8. Gestión de Evidencia Digital 31 Fig. 8 FKT Imager En FTK imager , solo queda buscar la opción de crear imagen para comenzar el proceso como aparece en la figura 8. Así pues, la herramienta solicitará l fuente de copia de la figura 9 y a continuación solicitará seleccionar de la lista que ofrece de acuerdo a la opción seleccionada como fuente, esto se puede apreciar en la figura 10, por lo que si se escoge un medio físico es muy importante de que está correctamente conectado . Fig. 9 Fuente Gestión de Evidencia Digital 32 Fig. 10 Seleccionar FuenteAhora el software solicita elegir a cuál dispositivo le va a realizar la imagen, por lo que nuevamente debe escogerlo de una lista proporcionada por la herramienta como se aprecia en la figura 11. Fig. 11 Seleccionar copia Para el siguiente paso es importante tener en cuenta el tipo de imagen en la que se espera que salga la copia, pues de esto depende su posterior lectura esto se puede ver en la figura 12. Lo más común y recommendable es escoger el tipo dd ( raw) que al ser de los más conocidos, permite que casi cualquiera herramienta pueda tener acceso a él. Gestión de Evidencia Digital 33 Fig. 12 Tipo de copia Finalmente solicita unos datos pertinentes alcaso de investigacion que permitirán rotular correctamente toda la informacion que arroja la herramienta como se observa en la figura 13 , lo que para un perito resulta muy útil y hace que ante una corte sea admisible. Fig. 13 Informacion adicional Finalmente es momento de comenzar a generar la copia y para ello bastará con oprimir el boton start como se aprecia en la figura 14 y 15. Gestión de Evidencia Digital 34 Fig. 14 Comienzo de Proceso Fig. 15 Proceso Para cuando termina la imagen, se debe llenar el final del reporte con los datos pertinentes, para ello debemos es necesario hacer click en la imagen de informe como aparece en la figura 16 y esto arroja un informe como se aprecia en la figura 17, 18. Gestión de Evidencia Digital 35 Fig. 16 generacion de informe Fig. 17 Informe Fig. 18 Informe de Investigacion Al terminar la ejecución de Helix se almacenan en el computador, cuatro archivos de diferentes extensiones, como se explicó al comienzo del ejercicio. Al analizar cada uno de ellos se encuentra que todas las acciones realizadas han sido registradas y protegidas, por otro lado, en un archivo .txt contiene la información registrada del caso como aparece en la figura 19, toda la información que tiene el dispositivo que se está analizando de la figura 20, la información de la imagen como aparece en la figura 21 y la verificación de los resultados de la imagen mostrados respectivamente. Gestión de Evidencia Digital 36 Fig. 19 Archivo TXT Fig. 20 Información del Caso Fig. 21 Información del dispositivo Fig. 22 Verificación de resultados Entre los archivos arrojados, se encontró uno en formato .xls que contiene la informacion de los archivos hallados en la memoria flash, pero donde adicionalmente da informacion de tamaño, cuando fue creado, modificado, accedido y borrado como se aprecia en la figura 23. Gestión de Evidencia Digital 37 Fig. 23 Archivo Excel Al revisar con detenimiento el documento es posible apreciar que registra archivos creados desde el 2008 y que fueron eliminados tiempo después, por otro lado también registra archivos como.java, imágenes, documentos de word, powerpoint o excel, también audios y videos. Ahora como complemento a la investigación se utiliza la herramienta llamada Deft. Que permite la recuperación de los archivos y ayuda concluir que la gran mayoría de archivos que aparecen eliminados en el Excel proporcionado por Dart se recuperaron de forma satisfactoria, sin embargo, algunas imágenes y audios no se recuperaron completamente. Lo que demuestra que cuando un espacio en memoria ha sido utilizado varias veces, la información, aunque se puede recuperar no siempre se recupera completa. Con este primer acercamiento, se dio paso a un experimento mucho más completo realizado en un equipo de cómputo donde se buscaba recopilar la mayor cantidad posible de actividades realizadas por un estudiante común en la Escuela Colombiana de Ingeniería Julio Garavito. Esto se llevó acabo en 3 diferentes puntos de concentración de estudiantes: biblioteca, sala decanatura de sistemas y sala de inglés. Para los escenarios de la biblioteca y la sala de decanatura de sistemas, se hicieron pruebas muy similares comenzando con un volcado de memoria que arrojaba los mismos resultados que en el experimento con la memoria USB, pero además se experimentó con las herramientas de tráfico de red, sin embargo, no se obtuvieron datos concluyentes. Por lo que finalmente, se decide ir a una sala con mayor afluencia como lo es la sala de inglés, donde se procuró hacer un uso más exhaustivo de las herramientas disponibles, para lo que se usó DART que viene disponible con la distribución de DEFT. Para este escenario se obtuvieron muchos más resultados, comenzando por la herramienta WinAudit disponible en la opción Incident Response el cual genera un archivo pdf de la figura 24 con todas las especificaciones de la máquina evaluada. Gestión de Evidencia Digital 38 Fig. 24 Especificaciones Maquina Luego se procede a usar la herramienta forensic – browser forensic tool para detectar todas aquellas búsquedas realizadas en el PC como se observa en la figura 25, que de acuerdo a una clasificación predeterminada puede escoger el tipo de búsquedas como redes sociales, pornografía, hacking entre otras. Fig. 25 Busquedas Realizadas Sin embargo, si el dispositivo se encuentra apagado estas mismas herramientas pueden usarse desde el arranque de la máquina lo que significa modificar el arranque del dispositivo y acceder a las herramientas sin alterar el estado de la máquina. 6.2.3.2 Linux Existen múltiples herramientas forenses, aún más para Linux que para cualquier sistema operativo, que por su facilidad de ser de código abierto permite su fácil adaptabilidad a las necesidades del peritaje en cada caso concreto. Expertos aseguran que Linux es la mejor opción para construir entornos específicos para el análisis forense que pueden ser iniciados desde discos externos (LIVE CD) o en máquinas virtuales. De esta manera permite utilizar las herramientas para extraer y analizar las evidencias procedentes de otros sistemas operativos. Entre sus mayores ventajas se encuentra que al ser de libre distribución supone un ahorro para los peritos la hace compatible con muchos de los sistemas analizados. Adicionalmente existen multitud de distribuciones que proporcionan conjuntos de herramientas forenses listas para usar, Gestión de Evidencia Digital 39 usualmente en LIVE CD lo que permite acceder a los sistemas a analizar sin modificar el contenido del mismo. Sin embargo, también presenta desventajas y dificultades, siendo la principal de todo el reto que significa usar y configurar estas herramientas en el ambiente de Linux. Por otra parte, ya que es menos conocido puede generar inseguridad entre los agentes legales frente a una investigación. No obstante, es un sistema que ofrece varias utilidades nativas que permite hacer la recopilación de evidencia sin alterar, por accidente, la información con la instalación de herramientas externas. Es el caso del comando “dd” (Dataset Definition) [56] el cual permite la creación bit a bit de particiones del disco o del disco completo. El uso de este comando es simple, sin embargo, existen varias consideraciones a tener en cuenta; Lo primero es conocer las particiones / discos duros que tiene el sistema, algo que se puede conocer fácilmente con el comando “sudo fdisk -l” [57] o con algún programa gráfico de particiones como gparted, pero esto último es poco recomendable, pues podría alterar los registros del dispositivo. Aunque no es un comando difícil de usar y su información se puede consultar con el comando “man dd” e “info dd”, se recomienda usarlo con precaución pues, así como copia la información de un disco, así mismo la puede eliminar si se usa una instrucción mal. Otra consideración a tener en cuenta, es que, por ser un comando reservado, no es posible visualizar su proceso de ejecución por lo que muchas veces se usa acompañado del comando “pv” que permite obtener en el terminal una especie de barra de progreso,
Compartir